Il backup propriamente detto ha dei grossi limiti che il Disaster recovery as a Service aiuta a superare. Il primo di tali limiti è che, almeno di norma, le aziende fanno copie di salvataggio dei dati e soltanto raramente di tutta l’infrastruttura IT. A seguire, non sono rari i casi in cui, le imprese che fanno backup abitualmente, non seguono delle policy scaltre e lasciano le copie dei dati all’interno della sede aziendale. Non da ultimo, con il proliferare del lavoro in remoto, dei dispositivi IoT e degli endpoint in generale, fare copie puntuali e complete di ogni risorsa diventa complesso quando non impossibile.
Il Disaster recovery as a Service trova una propria ragione d’essere anche alla luce dei recenti fatti di cronaca, tra catastrofi naturali e aumento strutturale dei cyber attacchi anche alle nostre latitudini.
Cos’è il Disaster recovery as a Service
Il Disaster recovery as a Service (DRaaS) è un servizio di Cloud computing mediante il quale un’organizzazione può eseguire il backup sia dei dati, sia dell’intera infrastruttura IT, ossia snapshot di applicazioni, sistemi operativi e interi storage. Della natura degli snapshot torneremo a parlare in seguito.
È quindi una soluzione SaaS che consente di centralizzare il backup di qualsiasi oggetto o dispositivo di un’azienda a prescindere dalla sua locazione e dalle specifiche.
I vantaggi del Disaster recovery as a Service
Il vantaggio è presto detto, sono le tante declinazioni a dovere mettere in condizione ogni azienda di valutare seriamente l’adozione di un fornitore DRaaS. Un’impresa compromessa può fare ripartire gran parte del business (se non persino tutto il business) in tempi strettissimi, comprimendo i costi necessari alla creazione di una struttura IT parallela e ridondante.
La business continuity viene quindi garantita dal DRaaS che, al giorno d’oggi, è sempre meno un’opzione, tant’è che diventa vitale nei casi di:
· catastrofi naturali (incendi, alluvioni, terremoti, …)
· cyber attacchi
· problemi di natura tecnico-tecnologica
· blackout energetici prolungati o ricorrenti
Ricorrere a una soluzione DRaaS solleva l’azienda dalla necessità di implementare un Disaster recovery plan classico, che prevede ingenti risorse sia da dedicare all’infrastruttura IT, sia alla pianificazione e ai test di rito. Nel panorama dei vendor di servizi DRaaS le politiche di prezzo sono diverse e, in alcuni casi, ci sono fornitori che fanno pagare ai propri clienti soltanto l’eventuale uso del servizio, ordine di spesa questo ben diverso da quello necessario a creare strutture ridondate che, fortunatamente, potrebbero non essere mai usate ma che, a prescindere, devono essere amministrate e manutenute.
Chi adotta una soluzione DRaaS beneficia anche dell’aiuto di esperti nell’implementare il sistema di recovery più consono, e questo è un ulteriore vantaggio che dovrebbe fare spostare l’ago della bilancia verso l’adozione di un servizio DRaaS che, peraltro, si adatta alle piccole così come alle grandi realtà aziendali.
Come funziona il Disaster recovery as a Service
L’approccio che proponiamo è ovviamente generale e vede una replica costante di parte oppure di tutta l’infrastruttura IT di un’azienda nelle infrastrutture del fornitore del servizio. In caso di necessità un’azienda può continuare a usare le strutture vitali offerte dal fornitore e continuare a lavorare anche mentre si riorganizza per ricreare la propria infrastruttura interna.
Di norma il backup avviene mediante snapshot, un sistema di replica che acquisisce lo stato di un’applicazione, di un computer o di policy di networking in un dato momento, trasferendo al servizio DRaaS soltanto i dati creati successivamente al snapshot precedente. Per esempio, pianificare uno snapshot ogni ora consente, nel peggiore dei casi, di ricominciare le attività di business perdendo al massimo sessanta minuti di produttività.
In alternativa c’è la possibilità di optare per la replica continua, ossia un flusso costante di dati, applicazioni, storage o sistemi operativi verso la struttura DRaaS. Questa formula comporta una minore perdita di dati in caso di disastro e permette di effettuare ripristini più puntuali e granulari quando l’azienda avrà ripristinato la propria infrastruttura IT.
Come detto, ci sono offerte che vertono verso un abbonamento classico e quelle che virano invece verso modelli pay-per-use e non c’è una politica di prezzo migliore dell’altra se non in rapporto alle necessità delle aziende che scelgono i servizi DraaS. Sul mercato esistono soluzioni DRaaS spesso improntate su macchine virtuali che consentono l’attivazione immediata del servizio di recovery.
Va da sé che, soprattutto in aree del mondo esposte a particolari rischi di catastrofe, vale la pena valutare un fornitore DRaaS ubicato in aree remote e questo comporta considerazioni correlate alla compliance.
Il Disaster recovery as a Service, la compliance e la security
È necessario sapere quale tragitto compiono i dati per raggiungere il fornitore di servizi DRaaS. Un’azienda non può ignorare – in materia di conformità e di privacy – neppure un singolo passaggio di tale percorso e, non di meno, deve pretendere che queste informazioni appaiano in modo esplicito nel contratto di fornitura del servizio.
Allo stesso modo occorre essere certi che i sistemi di resilienza ai cyber attacchi dei fornitori di servizi DRaaS siano ottimali, perché le imprese che vi fanno ricorso hanno almeno due punti diversi esposti a potenziali rischi: quello interno (dove i dati sono conservati) e quello esterno, ossia i dati trasferiti al servizio di Disaster recovery as a Service. Non da ultimo, è necessario valutare anche la difesa fisica con cui il fornitore protegge i propri datacenter, tra servizi e impianti di sicurezza e quindi sistemi antincendio, sistemi di ridondanza e controllo degli accessi su tutti.
Disaster recovery as a Service assistito
Tra le tante modalità di erogazione del servizio ne spiccano due, normalmente chiamate DRaaS assistito oppure self-service.
Il Disaster recovery as a Service assistito delega all’esperienza del fornitore l’ottimizzazione delle procedure utili al ripristino emergenziale ma la responsabilità dell’implementazione del piano d’emergenza rimane a carico dell’azienda cliente. Nel caso della modalità self-service, normalmente meno costosa, è l’azienda cliente a farsi carico della pianificazione, della gestione dei backup e dei ripristini (attività che richiedono un numero variabile di test a seconda dell’infrastruttura IT).
Differenze tra DRaaS e BaaS
Il Disaster Recovery as a Service prevede che il fornitore ospiti l’elaborazione nella propria infrastruttura le capacità di elaborazione delle macchine dell’azienda cliente insieme quindi ai dati, ai sistemi operativi, alle applicazioni e alle regole di routing e di cyber defense. Il Backup as a Service (BaaS) si limita a proteggere i dati e non l’infrastruttura. Ha un costo inferiore e un pubblico di riferimento, normalmente aziende che hanno esigenze di archiviare ingenti quantità di dati, anche per motivi legali